使用Sniffer Pro监控网络流量

"使用 Sniffer Pro 监控网络流量" 随着互联网的多层次性和多样性的发展，网吧已经由过去简单的应用扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P 等技术应用。这些应用的特点也呈现出多样性和复杂性，因此，对我们的网络服务质量要求更为严格和苛刻。 在这种情况下，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管理员显的心有余而力不足。毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正常业务的运行。 为解决这些问题，我们可以使用 Sniffer Pro 这款著名的网络协议分析软件。Sniffer Pro 的强大的流量图文系统 Host Table 可以实时监控网络流量。在监控软件上，我们选择了较为常用的 NAI 公司的 sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用 P2P 终结者、网络执法官等网络监控软件。 Sniffer Pro 的优点是不要配置端口镜像就可以进行流量查询，其工作原理利用 ARP 地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP 广播巨增等。这对于要求正常的网络来说，是不可思议的。 在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。 Sniffer Pro 的软件环境包括操作系统 Windows2003 Server 企业标准版（Sniffer Pro4.6 及以上版本均支持 Windows2000 Windows-xp Windows2003）、NAI 协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）。 在配置 Sniffer Pro 之前，我们需要确保网卡接入端位于主交换镜像端口位置，以便监控所有流经此网卡的数据。 Sniffer Pro 的网络拓扑包括： * 监控目的：通过 Sniffer Pro 实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。 * 网内任意终端流量实时查询 * 网内终端与终端之间流量实时查询 * 终端流量 TOP 排行 * 异常告警等 Sniffer Pro 的强大功能还包括数据包捕获和专家分析系统，以助更好地分析和解决网络异常问题。 在配置 Sniffer Pro 之后，我们可以通过 WEB 方式配置端口镜像，以 DES-3226S 二层交换机为例，我们可以通过 WEB 界面配置端口镜像。 我们需要配置交换机端口镜像（Mirroring Configurations）。在 DES-3226S 默认登陆 IP 为 10.90.90.90，我们需要配置本机 IP 为相同网段才可通过浏览器访问 WEB 界面。 我们可以点击上方红色字体：“Login”，如果您是第一次配置，输入默认用户名称、密码：admin 自动登陆管理主界面。 然后，我们可以在主界面上方以图形方式模拟交换机界面，其中绿色灯亮起表示此端口正在使用。下方文字列出交换机的一些基本信息。 接着，我们可以点击左下方菜单中的 advanced setup->Mirroring Configurations（高级配置—镜像配置），将 Mirror Status 选择为 Enable（默认为关闭状态，开启），本例中将 Port-1 端口设置为监听端口：Target Port=Port-1，其余端口选择为 Both，既：监听双向数据（Rx 接收 Tx 发送），选择完毕后，点击 Apply 应用设置。 此时所有的端口数据都将复制一份到 Port-1。（如图 4） 我们可以在 Port-1 端口，接入计算机并安装配置 Sniffer Pro。 Sniffer Pro 的应用场景包括： * 网吧管理员可以通过 Sniffer Pro 监控网络流量，实时发现网络环境中的故障。 * 网吧管理员可以通过 Sniffer Pro 实时查询网内任意终端流量。 * 网吧管理员可以通过 Sniffer Pro 终端流量 TOP 排行，快速发现流量异常情况。 Sniffer Pro 的优点是可以实时监控网络流量，快速发现网络环境中的故障，提高网络管理员的工作效率和正常业务的运行。